Verzet is zinloos

 

Het ruimteschip van James T. Kirk, de voorganger van Jean-Luc Picard. 
Afbeelding via Pixabay.

“We are the Borg. You will be assimilated. Resistance is futile.” Deze drie zinnetjes bezorgden de bemanning van het ruimteschip USS Enterprise, onder leiding van captain Jean-Luc Picard, de nodige hoofdbrekens. Nee nee, nu niet afhaken als je niks met Star Trek hebt! Zoals zo vaak gaat mijn blog ook deze keer uiteindelijk over iets heel anders.

De Borg vormen een collectieve levensvorm, bestaande uit vele wezens die samen één bewustzijn delen en daardoor geen eigen wil of persoonlijkheid meer hebben. Ze trekken door het heelal en nemen iedereen, die een bijdrage kan leveren aan hun streven naar perfectie, gewelddadig op in hun collectief (assimilatie). Ze zijn erg machtig; daarom zeggen ze er maar meteen bij dat het zinloos is om zich tegen hen te verzetten. De Borg worden steeds machtiger doordat de biologische en technologische kenmerken van de onderworpenen aan het collectief worden toegevoegd. Alle Borg zijn voorzien van diverse technologische implantaten – ze moeten natuurlijk wel herkenbaar zijn voor de kijker. Als ze niks te doen hebben, staan de Borg in een regeneratie-alkoof. Terwijl het lichaam in een soort slaap verkeert, wordt het brein ingezet voor collectieve taken.

Dat is allemaal leuk op tv, maar in het echt moet je er toch niet aan denken dat je in zo’n samenleving zit. Hoewel – soms zou je best willen dat bepaalde mensen over wat meer collectieve intelligentie en fatsoenstrekjes zouden beschikken. Maar ja, zeker in de westerse samenleving stellen we individualiteit boven alles, en daar horen ook verschillen in intelligentie en gedrag bij. Tot op zekere hoogte is die diversiteit geweldig; als het moedwillig extreem wordt, kan het een prettige samenleving hinderen.

Kunstmatige intelligentie (vaak artificial intelligence (AI) genoemd) is aan een flinke opmars bezig. ChatGPT heeft zich, als een soort consumentenversie van AI, razendsnel in onze maatschappij genesteld. Veel mensen begrijpen dat een dergelijk gereedschap hun leven aanzienlijk kan vergemakkelijken. Denk alleen al aan scholieren en studenten, die er gretig – en niet zelden tot verdriet van hun docenten – gebruik van maken. Overigens worden er ook alweer AI-detectiemiddelen ontwikkeld, zodat is na te gaan of iemand werk inlevert dat ontsproten is aan biologische of kunstmatige intelligentie. ChatGPT is een ‘groot taalmodel’, wat ik een lastig begrip vind. Maar eerder deze week werd het een beetje duidelijker, toen een collega me vroeg wat ook alweer de term is voor een bepaald fenomeen. Ik kon er ook niet op komen en ging te rade bij Google, hetgeen ook niks opleverde. Zo’n taalmodel veel beter dan een zoekmachine in staat om te begrijpen wat je bedoelt, en ChatGPT kwam dan ook met de juiste term op de proppen.

AI is als dynamiet: uitgevonden met de beste bedoelingen, vaak kwaadaardig gebruikt. Daar hebben we nog de Nobelprijzen aan overgehouden. ChatGPT en zijn soortgenoten bewandelen hetzelfde pad. Je kunt ze vragen om naar een beveiligingslek te zoeken zodat je het kunt dichten, maar je kunt dat ook gebruiken om juist in te breken. En dus zien we de laatste tijd vaak de vraag langskomen of we het gebruik van ChatGPT in onze organisatie aan banden moeten leggen.

Misschien moet je zo’n vraag niet aan een informatiebeveiliger voorleggen. Wij laten er dan een risicoanalyse op los en kijken daarmee per definitie vanuit de vraagstelling: wat zou er allemaal mis kunnen gaan? Nou, ik verzeker je dat AI daar als een levensgrote bedreiging uit gaat komen. Vervolgens moet je iets met al die geconstateerde risico’s. Je kunt er misschien compenserende maatregelen tegenover stellen, of het management kan de risico’s accepteren. Met dat alles zitten we echter naar de kwade hoek te kijken, terwijl AI ook een zegen kan zijn. Ik wil niet degene zijn die de komst van de stoomtrein tegenhoud omdat die zo vreselijk hard kan.

Een wijze, al lang gepensioneerde collega zei altijd: “Een maatregel zonder controle is geen maatregel.” Ik heb misschien wel controle over welke websites je mag bezoeken met je zakelijke laptop en je daarmee weghouden bij ChatGPT, maar ik kan niet verhinderen dat je privé-apparatuur daarvoor gebruikt. Althans, niet technisch; organisatorisch hebben we daar allerlei regels voor. En dan maar hopen dat je die kent en dat je je eraan houdt.

Er moet beleid komen voor het toepassen van kunstmatige intelligentie voor je werk. Vanuit beveiligingsoptiek moet rekening worden gehouden met het lekken van informatie als er (te) specifieke vragen aan AI worden gesteld. Overigens kun je net zo gemakkelijk informatie lekken via zoekmachines. Misschien is AI voor informatiebeveiligers ook helemaal niet zo bijzonder. Het is hoe dan ook zinloos om je ertegen te verzetten: het is er en het gaat niet meer weg. Zolang we maar weten wat echt is en wat uit het collectieve brein van de computer komt.

 

En in de grote boze buitenwereld …

• wordt AI volgens deze auteur vooral ten kwade ingezet.
• komt het kabinet met een standpunt over ChatGPT c.s.
• kun je ChatGPT nu trainen met je bedrijfsdocumenten (en daar kleven vast weer risico’s aan).
• kunnen de klanten van een Deense cloudprovider naar hun gegevens fluiten.
• houdt Noord-Korea een aardig kapitaal over aan z’n zomerse cybercriminaliteit.
• mag een bedrijf je niet om een kopie van je paspoort vragen als je een AVG-inzageverzoek doet.
• verzoekt dit telefoonhackbedrijf opsporingsdiensten om niet uit de school te klappen over hun spullen.
• wordt ransomware tegenwoordig sneller ontdekt.
• achterhaalt deze malware haar locatie via wifi-routers.
• is deze slimme lamp toch niet zo helder van geest.

 

Verrassende beveiliging

 

Foto van auteur

Als je lang op reis gaat, dan kun je niet voor iedere dag een schone onderbroek meenemen. De optie om een exemplaar na gebruik binnenstebuiten te keren en de volgende dag nog een keer te dragen hebben we niet serieus overwogen. Nee, echt niet.   

Gelukkig stellen veel hotels wasmachines en -drogers tegen betaling ter beschikking van hun gasten. Dat geeft wel altijd gedoe. Om te beginnen heb je daarvoor meestal muntjes in de lokale valuta nodig. En dat terwijl ik mij had voorgenomen om te proberen nergens geld uit de muur te trekken. In ons hotel in Seattle kwam ik hier op wonderbaarlijke wijze mee weg: de manager van de receptie vroeg hoeveel we nodig hadden, trok zijn beurs en gaf ons de kwartjes de we nodig hadden. In een ander hotel kon je met een creditcard betalen. Maar meestal hadden we toch echt munten nodig. Ik heb er een bonte verzameling internationaal wisselgeld aan overgehouden.

Maar ook wasdrogers geven gedoe. Meestal heb je drie opties: koud, permanent press en heet. De eerste zet weinig zoden aan de dijk, terwijl  je bij de laatste moet vrezen dat je kabouterkleertjes terugkrijgt; thuis gooien we alleen handdoeken in de droger, dat maakt die optie extra eng als je op reis bent. Dat woord ‘permanent’ in de middelste optie klinkt ook vrij definitief, maar omdat het de middelste optie is, zal het wel goed zijn. Dachten we. Kwam het wasgoed er toch nog klam uit. Ook na nog een extra rondje. En dat kost allemaal tijd die je eigenlijk had willen besteden aan toeristische activiteiten. Je kunt ook moeilijk weggaan: je houdt de machines bezet, of je vindt je wasgoed ’s avonds ergens in een hoekje, terwijl je geen idee hebt wie en wat er allemaal aan heeft gezeten. Brr.

Een hotel in Tokyo komt op een opvallende manier tegemoet aan deze milde vorm van smetvrees. Hun combimachines (wassen en drogen, sowieso al een uitkomst voor de toerist) zijn voorzien van een codeslot. Bij het starten van je wasje moet je zelf een code verzinnen, en je krijgt je wasgoed pas terug na het intoetsen van diezelfde code. Zo ben je ervan verzekerd dat niets en niemand bij jouw spullen kan. Uiteraard is het ook hier niet de bedoeling om zo’n machine de hele dag bezet te houden. Maar onze was was in ieder geval veilig.

Beveiliging waar je het niet verwacht, maar er wel blij mee bent. Hebben we zoiets ook in de ICT? Ik heb daar lang over nagedacht, maar ik kon niets bedenken. Dat komt waarschijnlijk doordat we in de ICT heel veel van beveiliging verwachten en er tegenwoordig raar van zouden opkijken als daar geen invulling aan wordt gegeven. Zelfs in situaties waarin je beveiliging hinderlijk vindt, berust je erin – het is normaal.

Er liggen wel nog zat kansen. IoT-apparatuur (the Internet of Things, het internet der dingen) ontbeert nog te vaak deugdelijke beveiliging. We hebben inmiddels heel wat van die spullen in huis. De vaatwasser, de wasdroger, de zonnepanelen, de airco en de geluidsinstallatie: ze praten allemaal met onze telefoons. Maar geen van die apparaten vraagt ook na de installatie nog eens een keertje: wie ben jij eigenlijk? De zonnepanelen leveren alleen data, maar de andere apparaten kan ik via mijn smartphone opdracht geven om iets te doen of om daar juist mee te stoppen. En daar kan een hacker schade mee aanrichten. Zet de stereo vol open terwijl niemand thuis is en je hebt geheid een burenruzie te pakken. Vaatwassers en wasdrogers kunnen misschien oververhit raken of water lekken als ze op ongebruikelijke wijze worden bediend. Gelukkig hebben we geen slimme waterkoker of broodrooster, want bij dergelijke apparaten is oververhitting nog veel gemakkelijker te bewerkstelligen.

Fabrikanten van IoT-apparatuur moeten beter hun best doen. “De letter S in IoT staat voor security”, wordt wel eens gezegd. Ja precies, die letter staat helemaal niet in de afkorting. Wat mij ook al niet geruststelt, is de afwezigheid van een security-paragraaf in de handleiding van apparaten die een verbinding met mijn thuisnetwerk willen. Nergens wordt uitgelegd hoe de beveiliging in elkaar zit, en ik vrees dat ik weet waarom die informatie ontbreekt. Ondertussen weten al die apparaten wel het wachtwoord van mijn netwerk.

Wat kun je zelf doen? Mocht een “vooruitstrevend” apparaat voorzien zijn van een wachtwoord, wijzig dat dan meteen bij installatie – anders kent de hele wereld je wachtwoord. Verder zou je IoT-devices in een apart netwerk kunnen onderbrengen, bijvoorbeeld je gastennetwerk. Daarmee voorkom je dat een inbreker bij je data kan. Maar ja, veel apparaten communiceren alleen met je telefoon als ze op hetzelfde netwerk zitten. Maar met die telefoon wil ik op het vertrouwde netwerk, niet op het onvertrouwde netwerk waarop ik iedereen toelaat.

Er valt nog het nodige te doen op het gebied van IoT-security. Verras me.

 

En in de grote boze buitenwereld …

• kun je hier verder lezen over IoT-security.
• wordt LinkedIn aangevallen.
• heeft deze cybercrimebende een probleem met haar eigen infrastructuur.
• slaan computerklokken soms op hol.
• zoekt Meta naarstig naar een manier om binnen de lijntjes van de AVG te kleuren.
• schaadt schaamte voor fouten soms de beveiliging.
• helpt identity orchestration bij de overgang naar clouddiensten.
• maakt deze korte cursus je bewust van manipulatie door social media.
• is je iPhone een gewillig slachtoffer voor spoofing.
• is China net zo bang voor ons als wij voor hen.
• zijn aanvallen via QR-codes niet alleen theoretisch.
• starten de meeste ransomware-aanvallen met een phishingaanval.

 

Airport Security

 

Afbeelding via Unsplash

Op Schiphol mag je waterflesje gewoon mee door de security. In Houston moet je je schoenen uitdoen. In Vancouver moet je het zakje met vloeistoffen uit je handbagage halen, en in Honolulu moet ook al je elektronica uit de tas. In tegenstelling tot elders moet je rolkoffertje in Tokyo juist niet in een bakje, maar los worden doorgelicht. In Singapore mag je met je EU-paspoort naar de snellere rij, met doe-het-zelf paspoortcontrole. En in Dubai moet ook je horloge af. En de ijzeren rookworst – tja, dat is een geval apart.

Ik heb deze zomer een flinke reis gemaakt met mijn gezin. En dan moet je nogal eens door de molen van de vliegveldcontroles heen voordat je in je stoel zit. Eerlijk gezegd weet ik niet of ik hierboven de juiste regels aan de juiste vliegvelden heb toegedicht; alleen Schiphol en Singapore weet ik nog zeker. Waar het om gaat is dat er nogal wat verschillen zijn. En daardoor weet je als gelegenheidsvlieger nooit waar je aan toe bent. Wat moet er allemaal los op de band? Mag ik m’n schoenen aanhouden? Ga ik aan de andere kant iets vergeten, doordat alles verspreid is? En dat onder de vaak norse blikken van het controlerend personeel (er zijn gelukkig ook uitzonderingen) en de druk van de reizigers achter je, die óók snel door deze hel willen en hun kousenvoeten weer willen schoeien, hun broek weer met hun riem willen vastzetten en hun rugzak willen omhangen.

Hoe makkelijk zou het toch zijn als de procedures en regels overal hetzelfde waren. Als je vooraf wist waar je aan toe bent. Ik moet dáár mijn paspoort laten zien, dáár willen ze de instapkaart inspecteren, ik hoef m’n schoenen niet uit te trekken en ik hoef niets uit te pakken. Wel de broekriem af, want een metalen gesp laat het poortje afgaan. Dat soort eenvoudige regels, die je al bij het boeken van je vlucht krijgt voorgeschoteld, zouden de doorstroming op menig vliegveld kunnen bevorderen en de reizigersstress kunnen verminderen. Hetzelfde geldt overigens voor zaken die niet aan security gerelateerd zijn, zoals hoeveel handbagage er nou precies mee mag (dat verschil op z’n minst per vliegtuigmaatschappij, type vliegtuig en de geboekte klasse), de incheckprocedure en de stoeltoewijzing: soms vooraf zelf kiezen tegen (forse) betaling, soms bij het inchecken nog aan passen, soms word je als gezin schijnbaar opzettelijk over het hele vliegtuig verdeeld (had je maar stoelen moeten kopen).

Hoe doen we het wat dat betreft in de informatiebeveiliging? Weet je als gebruiker vooraf altijd precies waar je aan toe bent? Of word je daar ook steeds door andere regels verrast? Laat ik gemakshalve bij mezelf beginnen. Het zal je niet verbazen dat ik zelden tegen onverwachte regeltjes oploop. Ik kén de regelgeving, heb er vaak zelf aan bijgedragen. Als ik ergens niet verder kom, snap ik waarom dat zo is en weet ik wat me te doen staat. Maar nu jij, als ‘gewone’ gebruiker (als in: geen security-professional). Je maakt gebruik van verschillende systemen. Bij het ene hoef je helemaal niet in te loggen, bij het volgende gebeurt dat vanzelf (single sign-on), bij weer een ander systeem moet je inloggen met je Windows-wachtwoord en dan zijn er ook nog systemen waarvoor je een apart wachtwoord hebt. Bij systemen, waarmee je dagelijks werkt, weet je het wel. Maar als je ergens maar sporadisch komt, vind je het misschien wel vreemd als om je Windows-wachtwoord wordt gevraagd. Is dat wel pluis? Ja, het is pluis, voor zover het een intern systeem of een interne applicatie betreft. Kort uitgelegd: ze zijn aangesloten op de gebruikers-administratie van Windows (de zogeheten Active Directory), vandaar dat ze om je Windows-wachtwoord vragen. Als een extern systeem om je Windows-wachtwoord vraagt, dan is dat natuurlijk niet pluis! Het lastige is dan weer dat je soms niet weet of een systeem intern of extern is. Bijvoorbeeld bij die app die je voor je werk gebruikt.

Soms wil je naar een website en mag je daar niet heen. Andere mag je gewoon bezoeken. Daar zit een systeem van categorieën achter. Onze leverancier struint het hele internet af en stopt elke website in een of meerdere categorieën, bijvoorbeeld government, education, gambling of pornography. Als organisatie stel je in welke categorieën je wilt blokkeren. Als normale internetgebruiker zul je niet vaak tegen blokkades aanlopen; voor gokken of porno, en nog een paar andere categorieën, moet je echter elders zijn.

Wellicht zijn er meer situaties waarin je denkt: dat zou wel wat eenduidiger mogen. Daar ben ik benieuwd naar.

Bij het scannen van mijn handbagage op Schiphol zei de controleur: “Ik heb nu iets gezien wat ik nog nooit eerder heb gezien. Het lijkt wel een ijzeren rookworst.” De koffer moest natuurlijk open en de boosdoener kwam aan het licht: een telefoonhouder voor op het dashboard van de huurauto. Die houder bestaat uit een plateau, waar de eigenlijke houder met een zuignap op staat. Het geheel staat los op het dashboard en moet natuurlijk voldoende gewicht hebben om niet te gaan schuiven. Daarom zit er een U-vormig gewicht in. Dat er dus op de scan uitziet als een ijzeren rookworst.

 

En in de grote boze buitenwereld …

• hebben Wit-Russische hackers tien jaar lang buitenlandse diplomaten bespied.
• hebben onderzoekers stiekem honderd uur lang over de schouders van hackers meegekeken.
• zijn de gegevens van miljoenen Britse kiezers gehackt.
• heeft de Noord-Ierse politie per ongeluk haar complete personeelsbestand online gezet.
• stellen de meeste DDoS-aanvallen niks voor.
• heeft James Bond er weer een nieuwe manier bij om je te bespioneren.
• werkt gezichtsherkenning in tv-series beter dan in het echt.